Batterie de serveurs de fédération AD FS héritée utilisant la Base de données interne Windows et des proxys

• S’applique à:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Cette topologie de déploiement pour les services de fédération Active Directory (AD FS) est identique à la topologie de batterie de serveurs de fédération avec la Base de données interne Windows (WID), à ceci près qu’elle ajoute des ordinateurs proxy au réseau de périmètre pour prendre en charge les utilisateurs externes. Ces proxys redirigent les demandes d’authentification client extérieures au réseau d’entreprise vers la batterie de serveurs de fédération. Ils étaient appelés serveurs proxy de fédération dans les versions précédentes d’AD FS.

Important

Dans les services de fédération Active Directory (AD FS) de Windows Server 2012 R2, le rôle d’un serveur proxy de fédération est géré par un nouveau service de rôle Accès à distance appelé « Proxy d’application web ». L’objectif du déploiement d’un serveur proxy de fédération dans les versions héritées d’AD FS (notamment AD FS 2.0 et AD FS dans Windows Server 2012) consistait à rendre AD FS accessible en dehors du réseau d’entreprise. Pour cela, vous pouvez déployer un ou plusieurs proxys d’application web pour AD FS dans Windows Server 2012 R2.

Dans le contexte d’AD FS, le Proxy d’application Web fonctionne comme un serveur proxy de fédération AD FS. De plus, il fournit une fonctionnalité de proxy inverse aux applications web de votre réseau d’entreprise, permettant aux utilisateurs de n’importe quel appareil d’y accéder depuis l’extérieur du réseau d’entreprise. Pour plus d’informations sur le proxy d’application web, consultez Vue d’ensemble du proxy d’application web.

Pour planifier le déploiement de proxy d'Application Web, vous pouvez consulter les informations contenues dans les rubriques suivantes :

• Planification de l’infrastructure du Proxy d’application Web (WAP)
• planifier le serveur proxy d'application web

Points à prendre en considération pour le déploiement

Cette section décrit différentes considérations relatives à l’audience visée, aux avantages et aux limitations associés à cette topologie de déploiement.

Public cible de la topologie

• Organisations dans lesquelles au maximum 100 relations d’approbation ont été configurées et qui ont besoin de fournir à leurs utilisateurs internes et externes (connectés à des ordinateurs situés physiquement en dehors du réseau d’entreprise) un accès par authentification unique (SSO) aux applications ou services fédérés

• Organisations qui doivent fournir à leurs utilisateurs internes et externes un accès SSO à Microsoft Office 365

• Petites organisations qui disposent d’utilisateurs externes et ont besoin de services redondants et scalables

Avantages de la topologie

• Mêmes avantages que la topologie de batterie de serveurs de fédération utilisant la Base de données interne Windows, ainsi que l’avantage de fournir un accès supplémentaire aux utilisateurs externes

Limitations de la topologie

• Mêmes limitations que la topologie de batterie de serveurs de fédération utilisant la Base de données interne Windows

  Approbations de partie de confiance 1-100	Plus de 100 approbations de partie de confiance
  Nœuds AD FS 1-30 : WID pris en charge	Nœuds AD FS 1-30 : Non pris en charge avec WID - SQL Server requis
  Plus de 30 nœuds AD FS : Non pris en charge avec WID - SQL Server requis	Plus de 30 nœuds AD FS : Non pris en charge avec WID - SQL Server requis

Recommandations relatives au positionnement des serveurs et à la disposition réseau

Pour déployer cette topologie, vous devez, en plus d’ajouter deux proxys d’application web, vous assurer que votre réseau de périmètre peut également fournir l’accès à un serveur DNS (Domain Name System) et à un deuxième hôte d’équilibrage de charge réseau (NLB). Le second hôte NLB doit être configuré avec un cluster NLB qui utilise une adresse IP de cluster accessible par Internet et utiliser le même nom DNS de cluster que le précédent cluster NLB que vous avez configuré sur le réseau d’entreprise (fs.fabrikam.com). Les serveurs proxys d’application web doivent aussi être configurés avec des adresses IP accessibles par Internet.

L’illustration suivante représente la batterie de serveurs de fédération existante avec la topologie WID décrite précédemment. Elle montre comment la société fictive Fabrikam, Inc., fournit l’accès à un serveur DNS de périmètre et ajoute un deuxième hôte NLB portant le même nom DNS de cluster (fs.fabrikam.com) ainsi que deux serveurs proxy d’application web (wap1 et wap2) au réseau de périmètre.

Pour plus d’informations sur la configuration d’un environnement réseau avec des serveurs de fédération ou des proxys d’application web, consultez la section « Exigences de résolution de noms » dans Configuration requise pour AD FS et Planification de l’infrastructure de Proxy d’application Web (WAP).

Voir aussi

Planification d’une topologie de déploiement AD FSGuide de conception AD FS dans Windows Server 2012 R2